Sécurité des systèmes de paiement électronique

Une offre à 360° pour votre conformité au standard PCI DSS

Le standard de sécurité des données de l’industrie des cartes de paiement (PCI DSS) a été développé dans le but d’encourager et de renforcer la sécurité des données de titulaires de carte ainsi que pour faciliter l’adoption de mesures de sécurité uniformes à l’échelle mondiale.

Le standard PCI DSS sert de référence aux conditions techniques et opérationnelles conçues pour protéger les données de compte. Il s’applique à toutes les entités impliquées dans le traitement des cartes de paiement, notamment les commerçants, les entreprises de traitement, les acquéreurs, les émetteurs et les prestataires de services. Le standard s’applique également à toutes les autres entités qui stockent, traitent ou transmettent les données de titulaires de cartes et/ou les données d’identification sensibles.

CNPP est une société PCI QSA (Payment Card Industry Qualified Security Assessor) : organisme de sécurité indépendant ayant été qualifié par le PCI SSC pour valider la conformité d’une entité au standard PCI DSS.

CNPP propose une large de gamme de services dans le cadre d’une conformité au standard PCI DSS :

• accompagnement à la mise en conformité
• audit de conformité
• sensibilisation des utilisateurs
• scans ASV
• tests d’intrusion
• formations certifiantes
• ...

Attestation de conformité au standard PCI DSS

Les consultants PCI QSA de CNPP sont des auditeurs ayant satisfait à l’ensemble des exigences qui leur incombe en termes de compétences, de déontologie et d’impartialité. Basés à Paris et à Casablanca, ils interviennent partout en Europe et en Afrique.

Les différentes étapes :
• Pré-audit de l’environnement, formalisation et suivi des non-conformités ;
• Audit de conformité ;
• Réalisation du Report on Compliance (ROC), de l’Attestation of Compliance (AOC) ainsi que du certificat de conformité.

Sensibilisation des utilisateurs (exigence 12.6)

L’exigence 12.6 du standard PCI DSS prévoit la mise en œuvre d’un programme formel de sensibilisation à la sécurité à destination de l’ensemble du personnel à la politique et aux procédures de sécurité relatives aux données de titulaires de carte de paiement.

CNPP propose des modules de sensibilisation en e-learning permettant une mise en œuvre simple et rapide avec la possibilité de toucher un grand nombre de collaborateurs de manière simultanée.

En savoir plus sur la plateforme YOULEARN.

Scans de vulnérabilités ASV (exigence 11.2.2)

L’exigence 11.2.2 du standard PCI DSS prévoit la réalisation trimestrielle de scans de vulnérabilités ASV (Approved Scanning Vendors) dans le but de détecter les vulnérabilités du système d’information.

Dans ce cadre, CNPP réalise ces scans ASV selon plusieurs méthodes :
• Scans managés : solution « clé en main » qui repose à la fois sur des compétences humaines et des outils spécifiques (nos consultants spécialisés interviennent sur : la réalisation des scans, l’étude des résultats et la qualification des vulnérabilités, l’édition des rapports et leur présentation aux équipes, le suivi et l’assistance pour la correction des vulnérabilités.)
• Solution autonome : mise à disposition des solutions applicatives auprès des équipes IT de nos clients.

Tests d’intrusion (exigence 11.3.2)

L’exigence 11.3.2 du standard PCI DSS prévoit d’effectuer des tests d’intrusion internes au moins une fois par an et après tout changement ou mise à niveau significatif de l’infrastructure ou de l’application (par exemple, mise à niveau du système d’exploitation ou ajout d’un sous-réseau ou d’un serveur Web dans l’environnement).

En savoir plus sur les tests d’intrusion.

Formation associée : Devenir Electronic Payment Security Officer

Maîtrisez la sécurité dans les systèmes de paiement électronique.